CVE-2024-21896

MITJÀ: (5,3)

CVSS3: 4,6

Node.js podria permetre que un atacant remot travessi directoris del sistema. Mitjançant pedaços interns de Buffer, és a dir, Buffer.prototype.utf8Write, un atacant podria enviar una sol·licitud d’URL especialment dissenyada que contingués seqüències de “punts” (/../) per llegir fitxers arbitraris al sistema.

Sistemes Afectats

• Node.js Node.js 20.0
• Node.js Node.js 21.0

Remediació
Consulteu el bloc de Node.js, 2024-02-14 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• Wednesday February 14 2024 Security Releases